Op 23 juni heeft de Zweedse autoriteit voor gegevensbescherming (IMY) vier besluiten uitgevaardigd tegen bedrijven die Google Analytics gebruikten. In alle besluiten werd het gebruik van Google Analytics onverenigbaar geacht met de GDPR. En er werden dit keer twee boetes uitgedeeld, waarvan één van €1M.
Het persbericht op de website van IMY geeft een mooi overzicht op hoog niveau van de juridische context van de beslissingen, maar er is nog veel meer om in te duiken. Laten we eens wat dieper ingaan op het besluit en wat het betekent voor het gebruik van Google Analytics.
De juridische kwesties
Alle vier de beslissingen komen voort uit 101 klachten van NGO noyb tegen Google Analytics en Facebook Connect. noyb heeft al met succes identieke zaken aangespannen in andere landen, en deze beslissingen zijn meer van hetzelfde, dat wil zeggen, hun juridische inhoud is een toepassing van de Schrems II-uitspraken van het Hof van Justitie.
De Schrems II uitspraak vereist dat bedrijven die gegevens overdragen naar de VS extra waarborgen implementeren bovenop de "standaard" waarborgen die de GDPR vereist voor alle gegevensoverdrachten (in de meeste gevallen de standaard contractuele clausules opgesteld door de EU Commissie). Deze waarborgen zijn nodig vanwege het risico van staatstoezicht op buitenlandse gegevens, zoals naar voren kwam in de Snowden-dossiers.
Maar deze waarborgen zijn erg moeilijk te implementeren en helemaal onmogelijk om in te voeren voor Google Analytics. Dat komt omdat Google Analytics bezoekers precies moet uitsplitsen om te kunnen werken!
In elk van de vier Zweedse besluiten:
- klaagde een betrokkene, vertegenwoordigd door noyb, dat de website van het bedrijf zijn persoonsgegevens illegaal doorgaf aan de VS
- het bedrijf gaf een opsomming van de voorzorgsmaatregelen die het had genomen, evenals de voorzorgsmaatregelen die Google had genomen om de gegevensoverdracht te beveiligen
- de DPA vond al deze maatregelen onvoldoende en beval de bedrijven het gebruik van Google Analytics te staken
Wat is nieuw in de beslissingen?
Hoewel de kern van de juridische kwesties hetzelfde is als bij alle andere besluiten tegen Google Analytics, zijn de besluiten in bepaalde opzichten interessant.
Het eerste is dat er boetes zijn opgelegd. De grootste van de vier - de Zweedse telecomgigant Tele2- kreeg een boete van €1M.
Andere gegevensbeschermingsautoriteiten hebben tot nu toe de voorkeur gegeven aan een zachtere aanpak en bedrijven alleen bevolen om het gebruik van Google Analytics te staken. Het zal interessant zijn om te zien of meer autoriteiten het voorbeeld van het IMY zullen volgen. Zo ja, dan kan Google Analytics in de toekomst een dure overtreding worden!
Een ander interessant aspect van de beslissing is dat twee van de bedrijven technische beveiligingen implementeerden. Dat wil zeggen, ze deden daadwerkelijk iets om te proberen de gegevens veilig te houden in plaats van het opstellen van wat compliance fluff in hun papierwerk, wat een zeldzaamheid is.
Helaas kwam de autoriteit tot de conclusie dat noch het hashen van cookie-identifiers, noch het proxyden van IP-adressen door middel van server-side tagging genoeg is om de gegevens veilig te houden. Google verzamelt en beheert enorme hoeveelheden gegevens, die ze kunnen gebruiken om gepseudonimiseerde gegevens aan een persoon te koppelen. Een gehashte identificatie kan bijvoorbeeld worden gekoppeld aan de surfgegevens die zijn verzameld via het Google-account van een bezoeker.
Conclusie: Google verzamelt zoveel gegevens - via Google Analytics, Google Accounts, zijn API's, zijn (illegale) advertentietrackers op Android-toestellen, enzovoort - dat het praktisch onmogelijk is om persoonlijke gegevens die je aan hen verstrekt goed te anonimiseren.
Met andere woorden, Google's eigen gegevensverslindende bedrijfsmodel komt terug in de GDPR!
De context
Google Analytics heeft al een geschiedenis van praktisch verboden zijn in EU-lidstaten. Maar het verhaal van gegevensoverdracht is nog langer en een kleine samenvatting kan de achtergrond van de beslissingen verduidelijken.
Van Snowden tot Schrems
Het begon allemaal in 2012 toen de Snowden-dossiers het bestaan onthulden van uitgebreide en willekeurige surveillanceprogramma's voor buitenlandse gegevens in de VS. Een jaar later diende de Oostenrijkse burger Max Schrems (nu een bekende privacyactivist) een klacht in tegen Facebook Ierland. Hij voerde aan dat de overdracht van zijn persoonlijke gegevens aan het Amerikaanse moederbedrijf Facebook hen blootstelde aan Amerikaanse surveillance en daarom illegaal was volgens de EU-wetgeving inzake gegevensbescherming. Dit was het begin van een lange juridische strijd: de zaak werd twee keer doorverwezen naar het Hof van Justitie van de EU, waarbij twee overeenkomsten voor gegevensoverdracht tussen de EU en de VS ongeldig werden verklaard in de historische Schrems I en II arresten.
Schrems II werd uitgesproken in 2020 en had om twee redenen een enorme impact op gegevensoverdrachten. Ten eerste maakte het Hof het Privacy Shield-kader ongeldig, dat voorheen eenvoudige gegevensoverdrachten van de EU naar de VS mogelijk maakte. Ten tweede onderzocht het Hof de standaard contractuele clausules, een gemeenschappelijk nalevingsmechanisme voor bedrijven die gegevens willen overdragen.
SCC's zijn een set gestandaardiseerde clausules opgesteld door de Commissie en zijn bedoeld om te worden opgenomen in een bindende overeenkomst met een ontvanger. Met andere woorden, als je gegevens buiten de EU wilt overdragen, kun je de SCC's implementeren in een contract en de clausules zullen de andere partij vertellen wat ze wel en niet met de gegevens mogen doen. Dit is een manier om ervoor te zorgen dat persoonlijke gegevens veilig en vertrouwelijk buiten de Unie worden overgedragen. Maar er is een probleem: deze clausules binden alleen de contractpartijen en voorkomen niet dat de staat toezicht houdt.
Met Schrems II heeft het Hof de VCA's als mechanisme voor gegevensoverdracht niet ongeldig verklaard, maar bepaald dat ze indien nodig moeten worden aangevuld met extra waarborgen - zoals het geval is in de VS. Je kunt ze dus niet gewoon kopiëren, het contract laten ondertekenen en het voor gezien houden. Je moet ervoor zorgen dat de SCC's echt werken voor jouw gegevensoverdracht en als dat niet zo is, moet je dit gebrek aan bescherming op de een of andere manier compenseren. Het probleem is dat dit moeilijk en soms onmogelijk is wanneer je te maken hebt met overheidstoezicht.
Gegevensoverdracht na Schrems II
Vlak na het Schrems II arrest diende privacy NGO noyb (voorgezeten door Schrems) een reeks van 101 strategische klachten in tegen Google Analytics en Facebook Connect, in een poging de Europese autoriteiten te bewegen tot een strikte handhaving van het Schrems II arrest.
De autoriteiten coördineerden hun aanpak van de klachten op Europees niveau. Als gevolg hiervan hebben de Oostenrijkse, Franse, Italiaanse, Finse, Noorse en Zweedse privacywaakhonden zich uitgesproken tegen Google Analytics bij de beslissing over de klachten van noyb (hoewel de Noorse beslissing slechts voorlopig is). Daarnaast omarmde de Deense autoriteit een soortgelijk standpunt in een persbericht.
Deze beslissingen zeggen hetzelfde: Google Analytics kan persoonlijke gegevens niet veilig houden. Met de coördinatie op Europees niveau en de invloedrijke Franse en Italiaanse autoriteiten die het voortouw nemen, zullen er waarschijnlijk meer autoriteiten volgen.
Het is de moeite waard om te verduidelijken dat, hoewel de beslissingen formeel betrekking hebben op een specifieke website, ze praktisch een algemeen verbod op Google Analytics zijn - omdat er weinig of niets is wat een bedrijf kan doen om persoonlijke gegevens te beschermen tegen toezicht bij het gebruik van de tool.
Zowel overheden als professionals weten heel goed wat er op het spel staat. Daarom hebben de juridische problemen van Google Analytics veel aandacht gekregen en heeft het Europees Comité voor gegevensbescherming gezorgd voor een uniforme toepassing van Schrems II in plaats van de zaken over te laten aan individuele autoriteiten.
Meer dan Google Analytics
Het gaat niet alleen om Google Analytics. Maanden geleden legde de Ierse autoriteit een recordboete van 1,2 miljard euro op aan Meta en beval het bedrijf de gegevensoverdracht naar de VS op te schorten (waardoor het risico van een Facebook black-out voor Europa zeer reëel wordt).
En om duidelijk te zijn, web analytics en sociale netwerken zijn de minste van de problemen van de EU. Een strikte toepassing van Schrems II kan een bedreiging vormen voor talloze Amerikaanse providers, waaronder enkele die momenteel essentieel zijn voor Europese bedrijven - denk aan Oracle of AWS!
De EU en de Verenigde Staten zijn bezig met het opzetten van een nieuw kader voor gegevensoverdracht om deze situatie op te lossen. Dit kader moet echter nog worden goedgekeurd door de lidstaten en - het allerbelangrijkste - de aangekondigde rechtszaak bij het Europese Hof van Justitie overleven.
Het is moeilijk te zeggen hoe een "Schrems III" uitspraak zal uitpakken, maar op dit moment blijft het lot van gegevensoverdracht tussen de EU en de VS onzeker.
Conclusie
Sinds de beslissingen van de Franse en Italiaanse gegevensbeschermingsautoriteiten hebben we gewaarschuwd dat steeds meer nationale autoriteiten een standpunt zouden innemen tegen Google Analytics. De tijd heeft ons gelijk gegeven. De boetes beginnen binnen te komen, dus dit is een goed moment om Google Analytics te dumpen!
En laten we niet vergeten dat gegevensoverdracht het minste probleem is van Google Analytics! Google Analytics is een gigantische bewakingsmachine die enorme hoeveelheden persoonlijke gegevens verzamelt, combineert met nog meer persoonlijke gegevens die zijn verzameld door andere diensten in het Google-ecosysteem, en deze gegevens vervolgens voedt met de privacy-afvalbak die het realtime biedingssysteem is.
Als de GDPR beter gehandhaafd zou worden, zou Google Analytics illegaal zijn vanwege wat het doet met persoonlijke gegevens, ongeacht waar het naartoe gaat. Wij geloven dat we het beter kunnen!
Simple Analytics biedt je alle inzichten die je nodig hebt om je bedrijf te laten groeien en je campagne te monitoren, zonder dat er persoonlijke gegevens worden verzameld! Wij geloven dat meer doen met minder de sleutel is tot een onafhankelijk, privacy-vriendelijk web. Als dit je aanspreekt, probeer ons dan gerust uit!